Nginx Web安全漏洞解决:Web服务器HTTP头信息公开以及Web服务器错误页面信息泄露

最新推荐文章于 2024-05-11 20:15:19 发布
最新推荐文章于 2024-05-11 20:15:19 发布
阅读量1.6w 收藏 11
点赞数 4
分类专栏: 安全漏洞 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43905458/article/details/105730610
版权

1、安全漏洞说明

使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞

1.1、安全漏洞:Web服务器HTTP头信息公开

风险级别:中风险
漏洞个数:4
漏洞详情:

端口协议服务
443TCPWWW
80TCPWWW
8000TCPWWW
8080TCPWWW

1.2、安全漏洞:Web服务器错误页面信息泄露

风险级别:中风险
漏洞个数:4
漏洞详情:

端口协议服务
443TCPWWW
80TCPWWW
8000TCPWWW
8080TCPWWW

2、漏洞分析

1、每个漏洞的个数有四个,就是对应漏洞详情中的4个端口
2、产品使用Nginx提供的服务,Nginx通过虚拟机方式以不同端口提供服务

结论:Nginx有4个虚拟机存在安全漏洞,对应的端口分别是443、80、8000和8080

3、漏洞解决

3.1、找到漏洞端口对应的Nginx虚拟机配置文件

这些配置文件的路径取决于nginx的配置,可能位于/etc/nginx目录下,也可能位于其他的目录下,可以通过搜索的方式查找。
以漏洞详情中的4个端口号作为关键字查找

# grep -rE "443|80|8080|8000" /etc
# grep -rE "443|80|8080|8000" /opt

nginx虚拟机配置文件格式一般有如下字段

server {
    listen 8080...
}

可以做区分

3.2、修改虚拟机配置文件

3.2.1、修改方法

参考nginx官网
http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens

Syntax:	server_tokens on | off | build | string;
Default:	
server_tokens on;
Context:	http, server, location
Enables or disables emitting nginx version on error pages and in the “Server” response header field.

The build parameter (1.11.10) enables emitting a build name along with nginx version.

Additionally, as part of our commercial subscription, starting from version 1.9.13 the signature on error pages and the “Server” response header field value can be set explicitly using the string with variables. An empty string disables the emission of the “Server” field.

3.2.2、配置文件修改

8080配置文件

server {
    listen 8080...
}

增加一行

server {
    listen 8080...
    server_tokens off;
}

443配置文件

server {
    listen 443...
}

增加一行

server {
    listen 443...
    server_tokens off;
}

8000配置文件

server {
    listen 8000...
}

增加一行

server {
    listen 8000...
    server_tokens off;
}

80配置文件

server {
    listen 80...
}

增加一行

server {
    listen 80...
    server_tokens off;
}

3.3、重启ngnix服务

# systemctl restart nginx
yanwei2020
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
nginx常见漏洞解析_nginx漏洞
2401_83947255的博客
04-12 981
0×1HTTP返回包:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
HTTP协议访问WEB服务器
02-16
1、SOCKET通信 2、使用80端口 4、遵循HTTP协议 5、观察HTTP发送以及响应
修复HTTP信息泄露Nginx版本信息漏洞
xiaoleilei666的博客
07-01 1万+
一、问题描述 最近项目系统处于安全防护阶段;相关维护人员会通过工具扫描指定项目系统所使用的软件,判断其是否存在某些不安全的漏洞。借此机会修复漏洞以至于使系统变的更加的安全,防止对系统用户以及系统方造成相关的损失。 一般来说,软件的漏洞都与版本信息有关,隐藏版本号或者修改web服务器所用的软件名称是为了防止恶意用户利用软件漏洞进行攻击。 今天,我们就来说一下信息泄漏nginx版本信息以及如何进行修复。 二、修复步骤 修复方法分为两种: (1)直接隐藏掉nginx的版本信息 (2)修改web服务器所使用
HTTP信息泄露-隐藏web服务器banner信息
热门推荐
颜朵ccy的博客
01-23 1万+
Tomacat错误信息服务器版本号)泄露(低危险)  HTTP信息泄露-隐藏web服务器banner信息 一些黑客会通过该软件暴露出来的信息针对性的入侵,为了服务器的安全这些信息一定要及时关闭。Tomcat在404,405,403等错误的时候,会有默认的错误信息输出到页面上。这个时候,黑客们,根据服务器的版本信息,可以了解到该版本服务器的已知漏洞,发起攻击,造成javaWeb应用的信息安全...
2024年网络安全最全nginx 安全漏洞 (CVE-2024-23017)(1),2024年最新腾讯T3大牛亲自讲解
最新发布
2401_84281703的博客
05-11 1013
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
nginx版本泄露问题解决
weixin_49133196的博客
10-10 1148
1.进入nginx.conf文件,例如h5服务。3.查看nginx配置是否正确。2.在http模块中添加。4.重启nginx服务。
【漏洞修复】Web服务器HTTP设置漏洞
11-01 6907
文章目录Web服务器HTTP设置漏洞Web服务器HTTP信息公开默认的nginx HTTP服务器设置Web服务器错误页面信息泄露修复方案服务验证 Web服务器HTTP设置漏洞 Web服务器HTTP信息公开 远程Web服务器发送的HTTP公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。 默认的nginx HTTP服务器设置 远程网络服务器包含默认设置,例如启用的服务器令牌和/或默认文件,例如默认索引或错误页面。这些项目可能会泄漏有关服务器安装的有用信息Web服务器错误页面
Win2008服务器操作系统-HTTPWEB网页和虚拟目录
m0_60984906的博客
12-21 1120
Windows Server 2008 R2福建省计算机网络技术专业 福建省高职分类考试计算机类技能测试操作系统部分入门基础课程HTTP Web 虚拟目录
禁用Web服务器HTTP信息公开 asp.net mvc移除Server, X-Powered-By, 和 X-AspNet-Version、X-AspNetNMvc-Version信息
慢谈人生
11-26 1691
asp.net mvc程序部署到IIS,,返回的HTTP中包含Server, X-Powered-By, 和 X-AspNet-Version、X-AspNet-Version信息. 这些信息有时给攻击者找寻你的站点漏洞提供的依据. 如下图所示: 1.移除X-AspNet-Version 在webconfig中做如下配置: 2.移除X-AspNetMvc-Version 在Global.asax中做如下配置 3.移除Server 3.1自定义server处理模型: //移..
【PHP】获取浏览器HTTP请求header信息、获取服务器HTTP响应header信息
小亮子的博客
11-24 513
获取HTTP请求header信息 https://blog.csdn.net/createNo_1/article/details/80561807
主机、web漏洞修复整理
JBbo01的博客
10-26 7182
系统运维安扫,检测主机、web安全漏洞,现把发现的漏洞修复整理记录一下。
浅谈Nginx(或LNMP)、Apache(或LAMP)、Tomcat版本信息泄露危险和修复方法
满天点点星辰的博客
04-07 3959
在使用Nginx(或lnmp)做反向代理、集群或是做跨域配置、Apache(或lamp)和Tomcat做为应用端使用时,其相关版本号和软件名称信息泄露,此时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。
Web应用安全:Nginx禁止目录列出配置文本.docx
06-18
本文将详细介绍如何配置Nginx以禁止目录列出,从而增强Web服务器的安全性。 **目录遍历攻击** 目录遍历攻击是一种常见的Web应用漏洞,攻击者尝试通过在URL中使用相对路径或绝对路径来访问Web服务器上未经授权的...
018-web应用服务器安全加固.pptx
10-22
- 自定义错误页面可以防止敏感信息直接暴露给用户,通过修改`httpd.conf`,将错误页面重定向至应用系统设定的错误页面。 ### Nginx服务器安全加固 Nginx的安全加固策略与Apache类似,包括合理设置用户权限、限制...
ngnix 漏洞修复文档
03-03
错误页面web 应用服务器版本信息泄露可能会泄露服务器的敏感信息,攻击者可以通过这些信息来攻击服务器。修改 404 页面及 500 页面,不要出现 apache、nginx 等字样,可以解决这个问题。 3. Referrer-Policy ...
windows服务器管理的安全注意事项
09-29
以下是一些关键的安全注意事项,主要针对Web服务器、数据库服务器以及防范页面木马和服务器漏洞。 1. **Web服务器安全**: - **关闭不必要的IIS组件**:禁用如WebDAV、CGI和ASP等功能,减少攻击面。 - **隐藏网站...
Secure-Systems-of-SQL-Injection-Attack:具有SQL注入漏洞的安全系统
05-01
Web应用程序带来了新型的计算机安全漏洞,例如SQL注入。 这是一类基于输入验证的漏洞。 SQL注入的典型用法是从数据库泄漏机密信息,绕过身份验证逻辑或向数据库中添加未经授权的帐户。 此安全性可防止未经授权访问您...
网络安全-记录web漏洞修复
孙霸天的专栏
07-05 4107
最近政府部门都在组织网络系统安全检测,我们公司开发的某一个系统前端也被检出了漏洞,需要解决一下前端使用vue框架开发,使用nginx进行部署如图所示总共被扫描出了八个漏洞,其中两个中度危险可能造成用户信息被窃取,攻击者可以构造其他站点,通过跨域资源访问的形式,读取用户在本站点上的任意信息;攻击者可以通过一连串的跨域资源访问请求,伪造用户的身份私自操作本站点的内容。漏洞未修复前,请求响应如下这里是由于我nginx配置了允许跨域请求,默认nginx是不允许错误配置如下 修改配置如下 修改后如下这是因为我们在vu
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
决战nginx技术卷:高性能web服务器部署与运维
12-27
《决战nginx技术卷:高性能web服务器部署与运维》是一本专注于介绍如何部署和运维高性能web服务器的技术书籍。它不仅深入解析了nginx的原理和工作机制,还介绍了nginx在不同场景下的部署和优化方法,帮助读者更好地理解和应用nginx技术。 首先,本书详细介绍了nginx的基本概念和使用方法,包括如何安装、配置和启动nginx,以及如何进行基本的性能调优和安全加固。读者可以通过学习这些内容,快速上手并且理解nginx的基本操作和管理。 其次,本书还深入探讨了nginx在高并发、大流量场景下的部署和优化技巧。通过实际案例和经验分享,读者可以学习到如何通过负载均衡、缓存优化、静态资源加速等手段,提升nginx在生产环境中的性能和稳定性。 此外,本书还介绍了nginx在安全防护和高可用性方面的解决方案,帮助读者构建更加健壮和安全的web服务架构。同时,本书还介绍了常见的故障排查和性能优化方法,帮助读者更好地进行nginx运维和故障处理。 总的来说,本书内容丰富全面,适合有一定Linux基础的运维人员、开发人员以及对高性能web服务器感兴趣的技术爱好者阅读。通过学习本书,读者可以系统掌握nginx的部署和运维技术,提升自己的技术水平,为企业的web服务架构提供更加稳定和高性能的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值